sábado, 3 de diciembre de 2011
lunes, 28 de noviembre de 2011
EL METODO HASH
miércoles, 2 de noviembre de 2011
UNIDAD 3 “CONTROL DE ACCESO”
3.1 CONTROL DE ACCESO
El control de acceso constituye una poderosa herramienta para proteger la entrada a un web completo o sólo a ciertos directorios concretos e incluso a ficheros o programas individuales. Este control consta generalmente de dos pasos:
- En primer lugar, la autenticación, que identifica al usuario o a la máquina que trata de acceder a los recursos, protegidos o no.
- En segundo lugar, procede la cesión de derechos, es decir, la autorización, que dota al usuario de privilegios para poder efectuar ciertas operaciones con los datos protegidos, tales como leerlos, modificarlos, crearlos, etc..
3.2 IDENTIFICACIÓN
Se denomina Identificación al momento en que el usuario se da a conocer en el sistema
3.3 AUTENTICACIÓN
Verificación que realiza el sistema sobre esta identificación.
3.3.1 FACTORES DE AUTENTICACIÓN
Al igual que se consideró para la seguridad física, y basada en ella, existen cuatro tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:
- Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptográfica, un número de identificación personal o PIN, etc.
- Algo que la persona posee: por ejemplo una tarjeta magnética.
- Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas digitales o la voz.
- Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.
3.3.2 AUTENTICACION DE 2 FACTORES
Se requieren dos factores para realizar la autenticación.
Comúnmente se utiliza el factor 1 por defecto (algo que se conoce) y usar ya sea el factor 2 o el 3 para el otro factor.
3.4 AUTORIZACIÓN Y PRIVILEGIOS:
El proceso de autorización es utilizado para decidir si una persona, programa o dispositivo tiene acceso archivos, datos, funcionalidad o servicio especifico.
Proceso de determinar que tiene permitido hacer.
Los usuarios pueden tener varios tipos de privilegios o
autorización de acceso para diferentes usos de la base
de datos:
Autorización de Lectura (SELECT): permite la lectura
de datos pero no la modificación de datos existentes
Autorización de Inserción (INSERT): permite la
inserción de nuevos datos pero no la modificación de
datos existentes
Autorización de Actualización (UPDATE): permite la
modificación de datos pero no su borrado
Autorización de Borrado (DELETE): Permite el borrado de datos
Los privilegios son las acciones que se le permiten a un usuario realizar.
Leer en una base de datos o archivo
Escribir en una base de datos o archivo
3.5 MODELOS DE CONTROL DE ACCESO
Un modelo de control de acceso es un conjunto definido de criterios que un administrador del sistema utiliza para definir derechos/permisos de los usuarios del/al sistema.
Hay tres modelos principales de control de acceso. Se tratan del Control de Acceso Obligatorio (Mandatory Access Control) (MAC), Control de Acceso Discrecional (Discretionary Access Control) (DAC), y Controles de Acceso Basado en Roles (Rule Based Access Control) (RBAC). Además, una regla de control de acceso basado en roles (RBAC) es útil para la gestión de permisos a través de sistemas múltiples.
Control de Acceso Obligatorio (Mandatory Access Control) (MAC)
En el modelo de control de acceso obligatorio se asignan las funciones de los usuarios estrictamente de acuerdo a los deseos del administrador del sistema. Este es elmétodo de control de acceso más restrictivo, porque elusuario final no puede establecer controles de acceso en los archivos. El Control de acceso obligatorio es muy popular en ambientes/instalaciones altamente secretas, como la industria de defensa donde los archivos “perdidos” pueden afectar a su seguridad nacional.
Control de Acceso Discrecional (Discretionary Access Control) (DAC)
El control discrecional de acceso esta en el otro extremo del espectro de acceso, diferente del modelo de acceso obligatorio, ya que es el menos restrictivo de los tres modelos. En el marco del modelo de acceso discrecional el usuario final tiene total libertad para asignar los derechos a los objetos que desea.
Este nivel de control completo sobre los archivos puede ser peligroso porque si un atacante o algún Malware compromete la cuenta a continuación, el usuario malicioso o código tendrá un control completo también.
Controles de Acceso Basado en Roles (Rule Based Access Control) (RBAC)
La Función de control de acceso basado en permisos o Roles crea la asignación de derechos/permisos de acceso a funciones o trabajos específicos dentro de la empresa; RBAC a continuación, asigna funciones a los usuarios, con lo que le concede privilegios. Este modelo de control de acceso a las funciones de manera efectiva en las organizaciones reales es, debido a que a los archivos y los recursos se le asignan los permisos de acuerdo a las funciones que lo requieran. Por ejemplo, un administrador del sistema puede crear una función de acceso para los gerentes solamente. Así, un usuario se le tendria que ser asignado el papel de un gerente para utilizar esos recursos.
Uno de los modelos de control menos discutido es la Regla de acceso control de acceso basado en roles (RBAC). Comparte las mismas siglas como control de acceso basado en roles, pero incorpora la gestión de arriba hacia abajo, similar al control de acceso obligatorio. Los permisos de control de acceso sólo son asignados por el administrador del sistema.
Las reglas se adjuntan a cada recurso, que regula los niveles de acceso que se permiten cuando un usuario intenta utilizarla. Un ejemplo de norma de control de acceso basado, sólo permite un recurso para ser utilizado en determinados momentos del día o de permitir sólo direcciones IP específicas para acceder al recurso.
3.6 ATAQUES COMUNES
INGENIERIA SOCIAL
En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
SNIFFING
Se trata de dispositivos que permiten al atacante “escuchar” las diversas comunicaciones que se establecen entre ordenadores a través de una red (física o inalámbrica) sin necesidad de acceder física ni virtualmente a su ordenador.
SNIFFER
El modo más sencillo de comprender su funcionamiento, es examinándola forma en que funciona un sniffer en una red Ethernet. Se aplican los mismos principios para otras arquitecturas de red.
Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Y no sólo el tráfico que vaya dirigido a una tarjeta de red, sino a la dirección de difusión de la red 255.255.255.255 (osea a todas partes).
Para ello, el sniffer tiene que conseguir que la tarjeta entre en modo "promiscuo", en el que -como indica la propia palabra- recibirá todos los paquetes que se desplazan por la red. Así pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuación el software puede capturar y analizar cualquier tráfico que pase por ese segmento.
Esto limita el alcance del sniffer, pues en este caso no podrá captar el tráfico externo a la red (osea, más allá de los routers y dispositivos similares), y dependiendo de donde este conectado en la Intranet, podrá acceder a más datos y más importantes que en otro lugar. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratégicos.
Programas Sniffers:
Hay una serie de aplicaciones que son las que principalmente se utilizan para este propósito del sniffing. A continuación, las indico así como su forma de actuar:
A) SpyNet
Es un programa shareware muy sencillo, incluye 2 programas en 1, "CaptureNet" y "PeepNet".
El primero es el que espía el tráfico en la red, guardando los paquetes de datos en formatos de bytes hexadecimales.
Mientras que el segundo analiza los datos recopilados, reconstruyendo los paquetes, o reproduciendo los correos incluso las contraseñas de los E-mail empleados (sólo la versión de pago); además muestra las direcciones de los ordenadores que participan y el protocolo empleado (pop3, http, smtp, etc.), así como los programas empleados (navegadores, programas de ftp, de correo, etc.) incluso hasta el sistema operativo.
B) Ethereal
Muy aplaudido en el mundo Linux, y ya con una versión para Windows. Su funcionamiento es similar al anterior, pero menos gráfico, aunque informa de lo que encuentra según el uso del protocolo. Y por supuesto, cuando se trata de POP3 localiza rápidamente el usuario y la contraseña. Y para rematar es código abierto (open source) y además gratuito.
C) WinSniffer
Es un programa especialista en contraseñas. Busca en toda la red accesos de login (usuario) y contraseñas, mostrándolos en pantalla. En concreto en la versión de prueba muestra el usuario y en la de pago, además la contraseña.
3º) Detección de los Sniffers:
Hay 2 técnicas básicas para detectar a los sniffers:
- Una basada en Host (por ejemplo, determinando si la tarjeta de red del sistema esta funcionando en modo promiscuo).
- Y otra basada en la Red.
En cuanto a los programas los hay muy variados, tanto en la forma de actuar como para el sistema operativo para el cual trabajan. En UNIX hay varios programas que pueden realizar esta tarea, pero destaca el Check Promiscuous mode (cmp).
En Windows, AntiSniff, detecta si hay algún sniffer en la red, pero sólo trabaja en Windows 95 o 98. Su página web es www.astake.com
DENEGACIÓN DE SERVICIO
Un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegación", pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo.
NET FLOOD
Tiene como objetivo degradar los enlaces de comunicación
Si el enlace de una empresa es de 34 MB y un atacante dispone de 155 MB este podría generar trafico consumiéndose la totalidad del enlace y evitando el envío de trafico útil.
martes, 13 de septiembre de 2011
Resumen de la 1ra Unidad “Seguridad Informática”
Seguridad:
Seguridad significa “libre de todo daño o riesgo” lo que quiere decir que un sistema esta libre de todo estas características.
La información que guardan las empresas ya sea en sus archivos o en sus Bases de Datos son de suma importancia ya que el 94% de las empresas que pierden sus datos suelen desaparecer., también 2 de cada 5 empresas que sufren ataques a sus sistemas, dejan de existir.
¿Para quién es importante la información?
La información es importante para los usuarios , los directivos que forman parte de una empresa, la competencia y por supuesto para los maleantes.
Es importante preguntarse
¿Qué es lo que se debe proteger en una empresa?
Lo que se debe proteger son principalmente los Activos, con esto nos referimos a todo aquel elemento que compone el proceso de comunicación, partiendo desde la información,su emisor,el medio por el cual se transmite hasta su receptor.
Los elementos que conforman los activos son:
Información
Equipos que la soportan
Hardware
Software
Organización
Usuarios
¿Qué es la información?
Son todos los elementos que contienen cualquier tipo de datos importantes para la empresa sin importar el tipo de medio donde se encuentren almacenadas.
Hardware: Toda la infraestructura tecnológica que brinda soporte a la información durante su uso, transito y almacenamiento.
Software: Son todos los programa de computadoras que se utilizan para la automatización de procesos, es decir, acceso, lectura, transito y almacenamiento de la información.
Organización: Se incluyen los aspectos que componen la estructura física y organizativa de la empresa, es decir, la organización lógica y física que tiene el personal dentro de la empresa.
Usuarios: Se refiere a los individuos que utilizan la estructura tecnológica y de comunicación de la empresa y que maneja información
Vulnerabilidad:
Cuando hablamos de vulnerabilidad nos referimos a todos los punto débiles que pueden ser puertas de ataque.
Existen varios tipos de Vulnerabilidades:
- Físicas
- Naturales
- Hardware
- Software
- Medios de almacenaje
- Medios de comunicación
- Humanos
Amenazas:
Son los agentes capaces de explotar los fallos de seguridad denominados puntos débiles o vulnerabilidades, y como consecuencia de ellos causar perdidas o daños a los activos de la empresa.
Tipos de Amenazas:
Naturales: Condiciones de la naturaleza y la intemperie que pueden causar daño a los activos de la empresa.
Intencionales: Son amenazas deliberadas fraudes, vandalismo, sabotaje, espionaje, invasiones, robo de información.
Involuntarias: Son amenazas resultantes de acciones inconscientes de los usuarios.
Riesgo:
Es la probabilidad de que las amenazas exploten los puntos débiles causando perdida o daños a los activos o impactos al negocio.
Métodos de Ataque:
Los diferentes métodos de ataque existentes, atentan contra el flujo normal de la comunicación.
Interrupción:
Este es un ataque contra la disponibilidad.
Intercepción:
Se presenta cuando una entidad ajena(persona, computadora, programa) a la comunicación consigue obtener información siendo que no va destinada para esta.
Modificación:
Una entidad no autorizada no solo accede al recurso sino que es capas de modificarlo y alterarlo.
Fabricación:
Este es un ataque contra la autenticidad.
Servicios de Seguridad:
Autenticación: Confirmar que la identidad de una o mas entidades sea verdadera
Control de acceso: Para definir que entidades tienen acceso a los recursos y así evitar el uso no autorizado de los mismos.
Confidencialidad: Protege a una entidad contra la revelación deliberada o accidental de cualquier conjunto de datos a entidades no autorizadas.
Integridad: Asegura que los datos almacenados en las computadoras y/o transferidos en una conexión no hayan sufrido una alteración